Slechts twee maanden na het verlies van $ 15.6 miljoen in een prijsorakelmanipulatie-exploit, werd Inverse Finance opnieuw getroffen door een flitslening exploit waarbij de aanvallers aan de haal gingen met $ 1.26 miljoen in Tether (USDT) en ingepakte Bitcoin (wBTC).
Inverse Finance is een op Ethereum gebaseerd gedecentraliseerd financieringsprotocol (DeFi) en een flitslening is een soort cryptolening die gewoonlijk wordt geleend en geretourneerd binnen een enkele transactie. Oracles rapporteren externe prijsinformatie.
De nieuwste exploit werkte door een flitslening te gebruiken om het prijsorakel te manipuleren voor een liquidity provider (LP)-token dat wordt gebruikt door de geldmarkttoepassing van het protocol. Hierdoor kon de aanvaller een groter bedrag van de stablecoin van het protocol, Dola (DOLA), lenen dan het bedrag aan onderpand dat ze hadden gepost, waardoor ze het verschil konden incasseren.
De aanval komt iets meer dan twee maanden na een vergelijkbare 2 april exploiteren, waarbij aanvallers kunstmatig gedekte tokenprijzen kunstmatig manipuleerden via een prijsorakel om geld af te tappen met behulp van de hoge prijzen.
Als reactie op de aanval heeft Inverse Finance het lenen tijdelijk onderbroken en DOLA van de geldmarkt verwijderd terwijl het het incident onderzocht, zeggende dat er geen gebruikersfondsen in gevaar waren.
Inverse heeft het lenen tijdelijk onderbroken na een incident vanmorgen waarbij DOLA van onze geldmarkt, Frontier, werd verwijderd. We onderzoeken het incident, maar er zijn geen gebruikersgelden genomen of in gevaar gebracht. We zijn het aan het onderzoeken en zullen binnenkort meer details geven.
— Inverse+ (@InverseFinanciën) 16 June 2022
het later bevestigd dat alleen het door de aanvaller gestorte onderpand bij het incident werd aangetast en alleen een schuld bij zichzelf opliep vanwege de gestolen DOLA. Het moedigde de aanvaller aan om het geld terug te geven in ruil voor een ‘gulle premie’.
Zie ook: Aanvallers plunderen $ 5 miljoen van Osmosis in LP-exploit, $ 2 miljoen snel daarna terug
In totaal wonnen de aanvallers 99,976 USDT en 53.2 wBTC van de aanval, verwisselden ze naar ETH voordat ze het allemaal door de cryptocurrency-mixer Tornado Cash stuurden, in een poging de onrechtmatig verkregen winsten te verdoezelen.
De vorige aanvallen zagen aanvallers er in april vandoor gaan met $ 15.6 miljoen in Ether (ETH), wBTC, Yearn.Finance (EN FI) en DOLA.
DeFi-marktplaats Deus Finance leed aan een soortgelijke exploit in maart, waarbij aanvallers een prijskoppeling binnen een orakel manipuleren, wat leidde tot een winst van 200,000 Dai (DAI) en 1101.8 ETH, destijds meer dan $ 3 miljoen waard.
Beanstalk Farms, een op krediet gebaseerd stablecoin-protocol, verloor alle $ 182 miljoen aan onderpand in een flitsleningaanval veroorzaakt door twee kwaadwillende bestuursvoorstellen, die uiteindelijk alle fondsen uit het protocol hebben gehaald.
Hoe de laatste aanval afliep
Blockchain-beveiligingsbedrijf BlockSec geanalyseerd dat de aanvaller 27,000 wBTC leende in een flitslening, waarbij een klein bedrag werd geruild voor het LP-token dat werd gebruikt om onderpand in Inverse Finance te plaatsen, zodat gebruikers crypto-activa kunnen lenen.
De resterende wBTC was geruild naar USDT, waardoor de prijs van het collateralized LP-token van de aanvaller aanzienlijk stijgt in de ogen van het prijsorakel. Nu de waarde van deze LP-tokens door de prijsstijging veel meer waard was, leende de aanvaller een groter bedrag dan gebruikelijk van de DOLA stablecoin.
De waarde van de DOLA was veel meer waard dan het gestorte onderpand, dus de aanvaller ruilde de DOLA om naar USDT, en de eerdere wBTC naar USDT-swap werd teruggedraaid om de oorspronkelijke flitslening terug te betalen.
Bron: https://cointelegraph.com/news/inverse-finance-exploited-again-for-1-2m-in-flashloan-oracle-attack